Storm-0558 und kein Ende: Angriff auf Microsoft-E-Mail-Konten zieht weitere Kreise

Foto: jijomathaidesigners – shutterstock.com

Shir Tamari, Research-Chef des Cloud-Security-Spezialisten Wiz, warnt davor, dass ein von Microsoft und der US-Sicherheitsbehörde CISA bekanntgegebener Hackerangriff auf Microsofts E-Mail-Dienste größere Kreise ziehen könnte, als bislang angenommen (siehe auch: Chinesische Hacker setzen US-Behörden zu). Hieß es zunächst, es seien nur rund 25 Politiker aus der US-Regierung betroffen, die im Handels- und im Außenministerium sitzen, könnten nun auch zahlreiche Unternehmen betroffen sein (siehe auch Microsoft-Mitteilung vom 11. Juli 2023).

Tamari weiß, wovon er spricht: Sein Unternehmen besteht aus einem Team ehemaliger Microsoft-Engineers, die sich auf Cloud-Sicherheit spezialisiert haben. Ein Bedrohungsakteur namens Storm-0558, dessen Spuren nach China führen, hatte sich auf mysteriöse Weise einen privaten Signierschlüssel (MSA-Schlüssel) verschafft und diesen dazu verwendet, Zugriffs-Token für Outlook Web Access (OWA) und Outlook.com zu fälschen. Die Angreifer sollen auch zwei Sicherheitslücken im Token-Überprüfungsprozess von Microsoft ausgenutzt haben.

War der Signierschlüssel nicht nur auf E-Mail beschränkt?

Bei Wiz glaubt man nicht an die Darstellung von Microsoft, wonach Outlook.com und Exchange Online die einzigen Anwendungen sein sollen, die von der Token-Fälschung betroffen waren. Der kompromittierte Encryption Key sei mächtiger und keineswegs auf diese beiden Dienste beschränkt gewesen, schreibt das Unternehmen in seinem Blog.

Konkret behaupten die Sicherheitsexperten: “Unsere Forscher sind zu dem Schluss gekommen, dass der kompromittierte MSA-Schlüssel es dem Bedrohungsakteur ermöglicht haben könnte, Zugriffs-Token für mehrere Arten von Azure-Active-Directory-Anwendungen zu fälschen – einschließlich aller Apps, die eine persönliche Kontoauthentifizierung unterstützen, darunter SharePoint, Teams, OneDrive und auch Kundenanwendungen, die die ‘Login-with-Microsoft-Funktionalität’ unterstützen. Unter bestimmten Konfigurationsbedingungen sind auch Multi-Tenant-Applikationen betroffen.”

Microsoft habe das Risiko zwar durch den Rückruf des betroffenen Signierschlüssels und die Veröffentlichung der Indicators of Compromise (IOCs) der Angreifer eingeschränkt, doch für Kunden dürfte es laut Wiz schwierig werden zu erkennen, ob gefälschte Token für den Zugriff auf ihre Anwendungen benutzt wurden. Ihnen fehle es an den nötigen Log-Daten, um den Verifikationsprozess angemessen nachvollziehen zu können.

Ein Türöffner für E-Mail, File-Services und Cloud-Konten

Wiz bezeichnet die MSA-Schlüssel der Identity-Anbieter als die “wahrscheinlich größten Geheimnisse der modernen Welt”. Sie seien beispielsweise viel mächtiger als TLS-Schlüssel. Hätte etwa ein Angreifer Zugriff auf den TLS-Schlüssel von Google.com, müsste er sich auch noch irgendwie als Server von Google.com ausweisen, um wirklich etwas bewirken zu können. Dagegen könnten sich Akteure mit den Schlüsseln der Identity-Provider sofort einen Single-Hop-Zugriff auf jedes E-Mail-Postfach, jeden File Service und jedes Cloud-Konto verschaffen.

Das Problem ist laut Wiz keineswegs Microsoft-spezifisch. Wenn ein Signierschlüssel von Google, Facebook, Okta oder einem anderen Identitätsanbieter in falsche Hände gerate, habe dies ebenfalls Auswirkungen kaum zu erfassenden Ausmaßes. Deshalb sei es so wichtig, dass sich gerade die großen Cloud-Provider zu einem höchstmöglichen Maß an Sicherheit und Transparenz verpflichteten: Kritische Schlüssel müssten bestmöglich geschützt werden und es brauche eine klare Strategie, um mit einem Incident umgehen und die Folgen eindämmen zu können.

Wiz will herausgefunden haben, dass der von Storm-0558 erbeutete Signierschlüssel zwar ein privater Schlüssel war, der für Microsofts MSA-Tenant in Azure entwickelt worden ist, dass er aber auch in der Lage war, OpenID-v2.0-Token für verschiedene Arten von Active-Directory-Anwendungen zu signieren. Den Forschern zufolge sind demnach Azure-Active-Directory-Anwendungen betroffen, die mit OpenID-Zugriffs-Token in der Version 2.0 arbeiten.

US-Handelsministerin Raimondo unter den Opfern

Wie Microsoft vor ein paar Wochen eingeräumt hat, konnten die vermutlich in China beheimateten Angreifer sich in die Cloud-E-Mail-Konten von mehreren US-Regierungsbeamten einwählen. Betroffen ist auch US-Handelsministerin Gina Raimondo. Inzwischen berichtete das “Wall Street Journal”, dass die Schnüffler auch auf die E-Mail-Postfächer von Nicholas Burns, dem US-Botschafters in China, und von Daniel Kritenbrink, stellvertretender Staatssekretär für Ostasien, zugegriffen hätten.

Microsoft hatte eine Liste mit Indikatoren für die Kompromittierung veröffentlicht, um denjenigen zu helfen, die fürchten betroffen zu sein. Dennoch glaubt man bei Wiz nicht, dass Anwender so einfach herausfinden können, ob Angreifer gefälschte Token verwenden, um Daten aus ihren Anwendungen zu stehlen. Tamari macht dafür das Fehlen von Protokollen zur Token-Verifizierung verantwortlich. Inzwischen hat Redmond sich bereit erklärt, allen Kunden im September kostenlosen Zugang zu seinen Cloud-Sicherheitsprotokollen zu gewähren. Dieser Service ist normalerweise nur den Premium-Kunden vorbehalten.

Zu den Ausführungen von Wiz hat Microsoft inzwischen gegenüber The Register Stellung genommen. Demnach seien viele der im Blog aufgestellten Behauptungen “spekulativ” und basierten nicht auf Beweisen. Man rate den Kunden, lieber die Microsoft-Blogs zu lesen, insbesondere den Threat Intelligence Blog, um mehr über den Vorfall zu erfahren und auf Basis dieser Informationen die eigenen Umgebungen anhand der von Microsoft veröffentlichten Indikatoren für eine Gefährdung zu untersuchen. (hv)